В октябре 2014 года компания FireEye раскрыла подробности кампании по кибершпионажу, в рамках которой хакерская группировка APT28 (также известная как Fancy Bear или Sofacy), предположительно связанная с правительством РФ, атаковала ряд объектов в Грузии и других восточноевропейских странах. Более широкую известность группировка приобрела после кибератаки на серверы Национального комитета Демократической партии США.

До публикации отчета FireEye информация о существовании APT28 не выходила за пределы ИБ-сообщества. В 2014 году специалисты Google составили отчет о деятельности группировки, однако он так и не был обнародован. Доклад основан на данных online-сканера VirusTotal, который компания приобрела в 2012 году.

Как указывается в документе, вредоносное ПО Sofacy и X-Agent «применяются спонсируемой правительством группировкой, чьей целью в основном являются бывшие республики СССР, страны-участницы НАТО и другие западноевропейские государства».

В большинстве кибератак группировка использует вредоносное ПО Sofacy, тогда как X-Agent применяется только для атак на «высокоприоритетные цели», пишут эксперты.

«По всей видимости, исследователям Google было хорошо известно о Sofacy до того, как информация стала публичной, - отметил специалист Comae Technologies Мэтт Суиче (Matt Suiche) в интервью Motherboard. - Они также приписали Sofacy и X-Agent России до того, как это сделали FireEye, ESET или CrowdStrike».